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移动 云 环境 下 高 效 属性 基 加 密 方案 研究 ， 


FRE, Ph o 5. BENE 
(信息 工程 大 学 ,郑州 450001) 


摘 E: 随 着 云 计 算 的 普及 , 移动 设备 可 以 随时 随地 存储 和 检索 个 人 数据 。 属性 基 加 密 (attribute based encryption, ABE) 
可 用 来 解决 移动 云 数据 安全 问题 。 目 前 适应 移动 云 的 属性 基 加 密 研 究 主要 集中 在 单一 机 构 ， 并 不 满足 现实 中 的 属性 授 
权 情 况 。 针 对 以 上 问题 提出 了 一 个 新 的 多 机 构 属性 基 加 密 方案 ， 该 方案 无 中 央 权 威 ， 各 授权 机 构 可 互 不 影响 ， 分 发 的 
属性 可 添加 ; 利用 预计 算 、 外 包 和 解密 的 方法 降低 用 户 端 的 计算 开销 ; 方案 在 随机 预言 模型 下 证 明 是 静态 安全 的 。 实 验 
结果 表明 ， 移 动 端 在 云 环 境 下 实施 数据 共享 时 ， 该 方案 可 以 减少 移动 设备 端 20% 的 计算 开销 ， 更 符合 于 移动 云 环境 实 
际 应 用 场景 。 

关键 词 : 移动 云 计算 ; 属性 基 加 密 ; 外 包 ; 多 授权 中 心 

中 图 分 类 号 : TP309 doi: 10.3969/j.issn.1001-3695.2018.03.0221 


Efficient decentralizing ABE for mobile cloud computing 


Fu Yumeng, Sun Lei, Li Zuohui 
(Information Engineering University, Zhengzhou 450001, China) 


Abstract: With the popularity of cloud computing, mobile devices can store and retrieve personal data anytime and anywhere. 


Attribute based encryption can be used to solve the problem of mobile cloud data security. At present, the research on attribute 


based encryption adapting to mobile cloud is mainly focused on single authority, which does not satisfy the real property 
authorization situation. This paper proposed a new multi-authority attribute based encryption scheme with no central authority, 
each authority in the scheme could not affect each other and attributes could be added independently. In addition, the scheme 
uses precomputation and outsourcing decryption to reduce the computation cost of the user side. Besides, the scheme was 
static secure under the random oracle model. Experimental results show that the scheme can reduce the computation cost of the 
user side by 2096, and it is more consistent with the data sharing application scenario in the mobile cloud environment. 
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云 环 境 。 

届 性 基 加 密 体制 较 好 地 解决 了 传统 加 密 手 段 难以 与 多 个 用 
移动 云 计算 (mobile cloud computing, MCC) 的 产生 使 云 户 实施 灵活 共享 的 问题 ,在 云 环境 数据 共享 安全 方面 表现 出 色 。 

计算 获得 了 应 用 范围 上 的 极 大 扩展 ， 用 户 可 以 摆脱 时 间 和 空间 ”但 由 于 目前 提出 的 大 多 方案 都 建立 在 双 线 性 映射 技术 的 基础 之 

的 限制 ， 更 加 便捷 地 享有 云端 强大 的 计算 、 存 储 和 软件 服务 能 上， 庞大 的 双 线性 对 和 群 寡 运算 效率 问题 一 直 倍 受 研 究 者 们 诉 

力 。 目 前 国内 外 著名 企业 相继 提供 了 移动 云 计算 服务 ， 如 阿里 ” JA. 


0 引言 


tF 


在 2017 年 重 磅 发 布 的 移动 云 Apsara Mobile, ERAF 本 文 提 出 了 一 种 适用 于 移动 云 环 境 的 无 中 心 属性 基 加 密 方 
“MobileMe” 服 务 、 微 软 公 司 “LiveMesh ”等 。 伴 随 移动 设 ” 案 ， 主 要 优势 体现 在 以 下 几 个 方面 : 

备 的 普及 和 5G 网 络 的 快速 发 展 ， 移 动 云 成 为 了 近 两 年 来 关注 引 利 用 在 线 /离线 、 解 密 外 包 等 技术 将 部 分 计算 迁移 到 云 
的 热点 。 同 时 ， 云 计算 的 安全 问题 也 逐渐 得 到 关注 ，2017 E m 使 移动 端 用 户 加 、 解 密 时 只 需 各 完成 一 次 指数 运算 ， 对 移 


Gartner 公司 提出 云 安全 成 熟 度 曲线 外 指出 面向 云 计算 的 环境 数 。”” 动 端 设备 性 能 要 求 低 ， 更 符合 移动 云 应 用 场景 ; 
据 、 应 用 程序 和 工作 负载 安全 防护 参差 不 齐 ， 移 动 设备 的 数据 b) 基 于 LSSS(linear secret sharing schemes) 访 问 结构 构建 方 
防护 不 够 成 熟 ， 云 安全 的 相关 解决 方案 并 不 能 直接 应 用 于 移动 KR, 实现 了 更 强 的 表达 能 力 和 更 高 的 效率 ; 
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0) 方 案 构建 中 引入 映射 思想 , 在 属性 与 机 构 之 间 建 立 满 射 ， 
符合 管理 实际 ， 减 少 来 自 同 一 机 构 授 权 属 性 的 密 钥 计 算 消 耗 ; 
在 属性 与 群 元 素 之 间 建 立 一 一 映射 ,满足 后 续 随 时 添加 属性 而 
不 会 影响 整体 方案 运行 需要 ; 

d) 方 案 在 随机 预言 模型 下 证 明 是 静态 安全 的 。 

1 ”相关 工作 

移动 云 计算 一 般 可 以 概括 为 移动 终端 通过 无 线 网 络 ， 以 按 
需 、 易 扩展 的 方式 从 云端 获得 所 需 的 基础 设施 、 平 台 、 软 件 
资源 或 信息 服务 的 使 用 与 交付 模式 1。 移动 云 计 算 2010 FEH 
以 来 ， 移 动 云 安全 就 受到 了 学 者 们 广泛 关注 [3 文献 [6] 提 昌 


E 


EE CE 


: 


FREAR FEDOU TEE 9 
证 ， 提 出 一 种 移动 云 环境 下 无 需 CA 的 多 机 构 
以 上 方案 虽然 在 一 定 程度 上 解决 了 移动 云 环境 下 
题 ， 但 都 需要 在 系统 运行 前 确定 属性 数量 ， 
性 而 不 用 重 置 系统 参数 。 
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FE 机 制 实现 了 对 


用 户 的 匿名 认 


CP-ABE 7; €. 


的 数据 共享 问 


不 能 灵活 添加 属 


此 外 ， 针 对 云 环境 下 的 多 机 构 场景 问题 ， 


辕 性 域 ， 可 任意 添加 属 怕 
合 数 阶 双 线 性 群 构造 了 一 个 可 撤销 方案 ; 


中 心 方案 解密 只 需 


个 指数 运算 ， 且 支持 大 忆 


文献 [19~22] 提 出 
了 不 同 的 解决 方案 。Yang 等 人 08 提 出 了 一 个 无 


移动 云 存储 关键 词 搜索 加 密 方案 , 文献 [7] 提 出 移动 云 医疗 隐藏 
访问 结构 的 外 包 属 性 基 加 密 方案 , 文献 [8] 着 重 介绍 目前 为 确保 
移动 云 计 算 基 础 设施 安全 而 开展 的 最 新 工作 ， 总 结 了 安全 问题 
对 于 移动 云 计 算 发 展 的 重要 性 。 
前 对 于 云 计 算 安全 较 好 的 解决 方法 是 采用 属性 基 加 密 技 
术 ， 能 同时 提供 云 数 据 安 全 和 灵活 地 访问 控制 ， 但 典型 的 ABE 
方案 无 法 直接 投入 实际 应 用 ， 原 因 在 于 方案 需要 利用 双 线 性 映 
射 技术 构建 ,复杂 的 功能 性 依靠 一 些 模 容 运 算 或 双 线 性 对 运算 
实现 ， 效 率 很 难 突破 。2011 Æ, Green 等 人 将 外 包 思 想 引 入 
ABE， 利 用 云端 强大 的 计算 和 存储 能 力 解 决 ABE 性 能 瓶颈 问 
题 ， 把 复杂 的 解密 计算 进行 安全 外 包 ， 为 之 后 的 研究 提供 了 新 
思路 。 随 后 学 者 们 的 研究 主要 是 围绕 终端 资源 受 限 的 设备 ， 利 
用 外 包 技 术 使 得 移动 用 户 和 PC 端 用 户 一 样 共享 云端 资源 .2013 
年 Li 等 人 0 提出 针对 移动 用 户 的 低 复杂 性 多 机 构 ABE， 依 赖 
移动 用 户 与 属性 机 构 之 间 的 半 可 信 机 构 完 成 双方 的 信息 交互 ; 

2014 年 Hohenberger 等 人 00 提 出 了 一 种 通过 预计 算 降 低 ABE 
方案 中 加 密 运 算计 算 量 的 方法 一 一 在 线 /离线 外 包 ABE 方案 ， 

将 加 /解密 时 的 工作 量 分 为 在 线 和 离线 阶段 分 别 完成 , 从 而 巧妙 
地 提高 用 户 应 用 体验 。 


以 上 研究 工作 为 移动 云 环 境 安全 的 讨论 提供 了 很 好 的 过 渡 


方案 均 不 同 程度 上 存在 


适合 移动 云 环境 。 


FP 心 的 支持 任意 


单调 访问 结构 的 可 撤销 方案 ; Huang 等 人 09] 提 出 的 方案 支持 大 
而 不 影响 系统 参数 ，Cui 等 人 PC 基于 
张 凯 等 人 已 ] 提 出 的 无 
性 域 。 然 而 以 上 


户 端 设备 性 能 要 求 高 


据 ee 而 选择 安全 
要 。2015 年 ，Waters 


、 开 销 大 ， 并 不 


到 自 适 应 安全 方案 的 设计 ( 合 数 阶 和 素数 阶 ) 
牲 方案 的 性 能 ， 不 适合 移动 云 环境 下 的 数 


的 方案 又 不 能 满足 实际 应 ) 
团队 的 Rouselakis 等 人 22 提出 了 一 种 静态 


中 对 安全 的 需 


安全 模型 ， 以 适应 多 授权 机 构 的 设置 ， 将 更 符合 多 授权 机 构 场 


景 下 的 数据 共享 ， 在 业界 也 有 相当 的 认可 度 。 相 比 于 选择 安全 


的 方案 和 使 用 对 偶 系统 加 密 技 术 证 明 满足 自 适 应 安全 的 方案 ， 


静态 安全 的 方案 具有 令 人 ; 


黄 意 的 安全 性 和 效率 性 。 


引 由 于 实际 应 用 场景 中 , 不 
单一 机 构 拓 展 为 多 ] 


程度 更 高 ; b) 


之 初 完成 预 设 ， 后 其 
是 非常 理想 ，c) 加 密 及 解 
或 访问 结构 的 规模 成 
间 。 本 文 提出 一 种 无 
设置 带 来 的 计算 量 问题 ， 


作用 ， 直 到 近 两 年 ， 面 向 移动 云 环境 安全 数据 共享 才 被 广泛 控 
讨 。2015 年 ， 印 度 学 者 Vijay 等 人 0 提出 针对 属性 撤销 的 移动 
云 环境 下 的 CP-ABE 方案 ， 该 方案 支持 多 属性 机 构 同 时 工作 ; 
2016 年 Li 等 人 09 提 出 了 一 个 移动 云 环 境 下 轻 量 级 的 数据 共享 
方案 ， 该 方案 通过 改变 访问 控制 树 结构 将 大 部 分 计算 交 给 外 部 
代理 服务 器 ， 同 时 实现 了 撤销 功能 。 以 上 这 两 个 方案 都 需要 一 
个 中 央 权 威 机 构 ， 而 中 央 权 威 机 构 完全 可 信 不 可 保证 。 为 减轻 
中 央 权 威 机 构 腐败 带 来 的 安全 威胁 , 2017 年 Lyu 等 人 (提出 无 
中 心 的 移动 云 ABE 方案 ,采用 匿名 密 钥 发 布 协 议 来 实现 隐私 保 
护 , 此 外 利用 在 线 /离线 技术 和 外 包 解 密 可 验证 技术 降低 计算 开 
销 , 同样 实现 了 撤销 功能 ; Zhao 等 人 05 提 出 可 验证 外 包 计 算 的 
移动 云 CP-ABE 方案 ,通过 两 种 哈 希 函 数 对 外 包 结 果 进 行 验证 ， 
但 方案 是 针对 单一 授权 机 构 的 ， 无 法 解决 现实 应 用 场景 中 需要 
多 机 构 授权 管理 用 户 的 不 同属 性 问题 ; De 等 人 09 提 出 一 种 移 
动 云 环境 下 快速 加 、 解 密 的 ABE 方案 , 可 实现 属性 的 分 权 ; 李 


ME 
lE) 


2 ”预备 知识 


本 章 主 要 对 相关 知识 进 


24 双 线 性 群 


就 笔者 所 知 , 目前 适用 于 移动 云 环境 下 的 多 
高 效 且 安 全 的 多 机 构 属性 基 加 密 问题 还 没有 很 


田 粒 度 访 问 控制 、 
好 的 解决 方案 : 


jj 机构 授权 和 管理 


户 的 不 同属 性 ， 


授权 机 构 的 ABE 方案 计算 量 和 管理 复杂 
的 方案 均 是 需要 属性 与 机 构 在 系统 建立 


设 还 需要 进 
阶段 的 计算 量 均 与 


行 全 局 重 置 ， 实 际 效率 仍 不 
属性 集合 的 大 小 


ELE; q) 安 全 性 与 效率 性 


还 有 很 大 研究 空 


e CP-ABE 方案 ， 能 


效应 对 多 机 构 


j 于 解决 移动 云 环境 的 实际 数据 共享 问题 。 


行 介绍 。 


上 且 安 全 性 能 较 已 有 方案 有 所 提升 ， 更 


设 忆 为 素数 ，G 和 G7 为 2 个 Pp 阶 的 循环 群 ，8 是 群 G 的 


aou rt 


b) 非 退化 。3g eG 使 得 e(8,8) ER 


生成 元 ， e:G* >G, 为 一 个 映射 ， 满足 : 


Ve, f eG,a,b e Zy (a^. f^) - e(g. f)” ; 


FG, 中 的 阶 为 乙 。 


假设 群 G 和 群 G7 中 的 运算 以 及 映射 。 均 为 多 项 式 时 间 可 


计算 的 ， 并 且 在 对 群 G 和 群 Gy 的 描述 


生成 元 。 


FPF 包含 了 每 个 群 的 一 个 
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2.2 访问 结构 


n 个 参与 方 组 成 的 集合 ， 访 问 结 


构 4 是 尸 的 一 个 非 空子 集 ， 即 4S2 MO), 其中，2? 表 示 P 


的 所 有 子 集 组 成 的 集合 。 若 访问 结构 A 是 单调 
4i BeAH BcC, 那么 CeA。 在 A 中 的 集合 称 为 授权 集 ， 
不 在 4 的 集合 称 为 非 授权 集 。 
2.3 ”线性 秘密 共享 方案 

一 个 关于 参与 者 集合 的 秘密 共享 方案 可 在 Z, 上 是 线性 


ILE 


Ø, W YB,C ， 


d 
J 


的 ， 则 该 方案 满足 以 下 两 点 : 

了 所 有 参与 者 的 分 享 份额 构成 Z 上 的 一 个 向 量 。 

b) 存 在 {行列 的 矩阵 A， 称 做 开 的 分 享 生成 矩阵 ， 对 于 
1=12…(， 函 数 OQ) 表示 A 第 i 行 所 标记 的 参与 者 。 设 列 向 


esx)eZ,, Ap: se, 是 需要 共享 的 秘密 ; 
Yos ye 名 ,是 随机 选取 的 , 则 向 量 Av 表示 条 对 秘密 s 的 /个 
ARS (CAP) 是 第 i 个 分 享 份额 ， 它 属于 参与 者 p() 。 

根据 文献 [23] 对 LSSS 的 定义 ，LSSS 具有 线性 重 构 特性 。 
即 车 芽 是 一 个 关于 访问 结构 的 线性 秘密 共享 方案 ，Se A 是 一 


个 授权 集合 , ELE C(L2, D I= ipes}, 则 可 以 在 多 


项 式 时 间 内 找到 一 组 常数 {@ eZ.) (A) 是 对 秘密 s 的 有 


el 


效 分 享 ， 则 等 式 > 和 =5 成立， 而 对 非 授权 集合 是 不 存在 这 


样 的 常数 的 。 
2.4 复杂 性 假设 
q-DBPBDHE2 假设 23。 群 G 中 q-DBPBDHEO2 问题 叙述 如 


F: 随机 选取 a s bb... b eZ, cC 


s a bja 

D p.g.G.e,g' dg Viepauisq {8 Y peaq.qtieqit? 

B sah d 
Gj jDelatlq.ql je 


(g^ Val 


区 分 elg, g) 和 Gi 中 的 随机 元 素 R。 当 


pr| B(De(8,8)™ )=0]-Pr[B(D,R)=0]>e, 


则 称 算 法 以 上 的 优势 解决 q-DBPBDHE2 问题 。 

若 任何 多 项 式 时 间 算 法 攻破 q-DBPBDHE2 问题 的 优势 & 
都 是 可 忽略 的 ， 则 称 9g-DBPBDHE?2 假设 在 群 G 中 成 立 。 
3 ”方案 与 安全 模型 


针对 移动 云 计算 在 数据 安全 共享 方面 存在 的 问题 ， 基 于 属 
性 基 加 密 方法 设计 一 种 移动 云 环 境 下 的 高 效 数据 安全 共享 架 


构 ， 提 出 更 贴近 实际 应 用 场景 、 满 足 用 户 细 粒 度 访问 控制 ， 确 
保 用 户 在 数据 共享 时 获得 更 好 的 用 户 体 验 ， 实 现 移 动 云 环境 下 


数据 安全 、 受 控 、 灵 活 、 高 效 地 共享 。 


: aXiv 合 人 
付 雨 靖 ， 等 : 


该 方案 主要 包括 四 个 实体 ， 分 别 是 数据 
J] DU(data user) 、 多 个 属性 权威 机 


AA(attribute authority) ~ 


provider)。 共 享 框架 如 图 1 所 示 。 


云 服 务 提供 商 (CSP) 


WN — e 


HIEU we Ss F 
可 上 传 二 一 EE D RR 1 
B 4 ELCT `na 
| 临时 密 钥 TK > 
sxcr Boc. cid ^ 
i A 请 求 的 私 钥 SK 


1 < 发 布 的 公 钥 PK 


1) 数 据 拥 
DO 主要 是 按照 安全 策略 拟定 访问 结构 ， 然 后 通过 预计 


者 DO 


根据 访问 结构 完成 数据 加 密 ， 最 后 将 加 密 结果 ， 
相关 联 的 密 文 上 传 至 云端 。 
2) 终 端 用 户 DU 

王 何 用 户 都 可 以 自由 访问 并 获取 云 服 务 器 上 的 密 文 文件 
当 且 仅 当 DU 拥有 的 属性 满足 密 文 的 访问 策略 时 才能 解密 。 
户 拥有 的 属性 是 由 多 个 属性 权威 机 构 根 据 用 户 的 权限 进行 
发 ， 以 此 来 实现 密 文 的 跨 域 访问 。 

3) 多 权威 机 构 AA 


即 与 访问 策 
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有 者 DO(data 


构 


云 服 务 提供 商 CSP(coud server 


算 
LG} 


AA 向 用 户 进行 授权 ， 产 生 公 、 私 钥 对 ， 发 布 其 公 钥 并 秘 


密 保存 私 钥 。 本 文 假设 方案 中 的 每 一 个 属性 都 是 由 一 个 特定 
AA 授权 (如 身份 证 号 由 派出 所 授权 ， 而 硕士 学 位 由 学 校 授权 
而 每 个 AA 都 可 以 管理 多 个 属性 (如 研究 生 学 位 处 可 授权 硕 
学 位 和 博士 学 位 等 )。 在 实践 中 ， 可 以 将 属性 看 做 是 AA 的 公 
和 一 个 属性 的 组 合 ， 这 将 确保 当 有 多 个 AA 属性 重复 时 ， 则 
系统 中 的 不 同属 性 相对 应 (如 清华 大 学 的 硕士 研究 生 和 北京 
学 的 硕士 研究 生 )。 

4) 云 服务 提供 商 CSP 

笔者 认为 云 服务 提供 商 拥 有 强大 的 存储 和 计算 能 力 ， 
无 须 过 多 考虑 自身 的 硬件 和 软件 条 件 ， 可 通过 不 同 配置 的 设 
访问 CSP 以 获取 其 授权 资源 。 其 次 ，CSP 一 般 被 看 做 是 诚实 
好 奇 的 ， 为 此 ，CSP 只 被 用 于 存储 密 文 和 进行 部 分 解密 ， 不 
从 中 获取 关于 数据 或 密 钥 的 任何 信息 。 

这 里 的 DO、DU 主要 指 的 是 低 端 设备 用 户 ， 如 手机 、 和 车 
系统 等 ， 也 可 以 是 PC 机 等 高 端 设备 用 户 ， 在 此 不 再 歼 述 。 
3.2 方案 的 形式 化 定义 


定义 属性 空间 UV ， 权 威 机 构 空间 V ， 函 数 了 : >V 是 属 


性 空间 到 权威 机 构 空间 的 一 个 满 射 , 即 ieU ，T(i) eV 。 另 多 
方案 中 的 每 个 用 户 (AA 也 可 看 做 是 特殊 的 用 户 ) 都 拥有 唯 


的 
» 
1H 
与 
大 


DU 


备 
且 


P 
Hu 


载 


E: 


F 


的 


201806.00104v1 


Xiv: 


china 


录用 稿 


全 局 标志 符 GID 和 一 个 


个 适 | 


案 主要 由 下 面 的 八 个 算法 描述 : 


a) 全 局 初始 


4 为 安全 
作为 剩余 七 种 
不 再 提 及 。 


多 个 AA 授权 的 属性 集合 5 。 
于 移动 云 环 境 下 的 多 机 构 密 文 策略 属性 基 加 密 方 


化 算法 GlobalSetup( 4) > GP 。 


参数 ， 经 过 初始 化 输出 全 局 的 公共 参数 GP . GP 


算法 的 公 


输入 参数 。 为 简明 扼要 ， 以 下 算法 将 


b) 各 权威 机 构 初 始 化 算法 (各 权威 机 构 注 册 算 


Sija 


运行 ， 


构 的 公 、 私 钥 对 {PKyp,SKjp} 。 
c) 用 户 注 册 算 法 KeyGen „a (GID,) — (userPK,, key] 。 


即 经 典 方案 中 密 钥 生成 算法 的 用 户 部 分 ， 
户 的 公 、 
d 云 服务 提供 商 CSP 乡 
(GID, userPK.,S,{SK,}) > SK,, 


A GID,(i €U) 


KeyGen 


out 


即 经 典 方案 中 密 钥 生成 算法 的 外 包 部 分 ， 
用 户 i， 输 入 标志 GID, 、 公 钥 userPK, 、 用 
权威 机 构 ( 即 Vi e 5,7T(i)=) 的 私 钥 集 {SKp} ， 输 出 针对 用 


的 外 包 解 密 密 


， 输 出 用 


法 ) AuthoritySetup(GID, ) — (PK ,,SK,) , 


各 权威 机 构 独立 输入 GID (B € V) 输出 各 权威 机 


用 户 完成 ， 输 


私 钥 对 (userPK,, key] 。 
包 解 密 服 务 器 密 钥 生成 算法 


t o 


用 户 运行 。 如 
户 属性 集 S 和 相关 


^i 


钥 SK。, ， 秘 密 上 传 至 云 存 储 服务 器 。 


相关 属性 权威 
至 云 存储 服务 


e) 预计 算 算法 Prew.({PKpD 1C 。 
用 户 在 设备 空 闪 时 运行 ， 根 据 用 户 定义 的 访问 策略 输入 


机 构 的 公 钥 集 PK), 输出 临时 密 文 IC， 可 上 传 


器 。 


人 加 密 算 法 Encrypt(IC,M,(A,p)) 一 CT 。 


输入 临时 密 文 IC ， 待 加 密 的 明文 M ， 由 | 


结构 (4,p) ,输出 密 文 CT ， 


] 户 定义 的 访问 


上 传 至 云 存储 服务 器 (此 算法 也 


可 跳 过 预计 算 操 作 直 接 对 明文 进行 力 
g 外 包 解 密 算法 Out (SK, userPK,, CT) — CT' , 


CSP 的 外 


不 满足 密 文 CT 中 的 
密 


E. 


包 解密 服务 器 运行 ， 输 入 用 
8] SK, ， 公 钥 userPK, 和 密 文 CT 。 当 SK。 中 关联 的 属性 集 
访问 策略 CA. p) 时 , 解密 失败 ; 否则 输出 半 
mE 


用 户 i。 


i 的 外 包 解密 密 
S 


h) 终端 解密 算法 Decrypt(key, CT) M 。 


CT', ， 输 出 明 


授权 用 户 设备 运行 ， 输 入 用 


XM. 


户 私 钥 key 和 半 解 密 密 文 
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询问 增加 了 抵抗 多 个 合法 用 
段 的 游戏 进行 描述 : 

引 创 建设 置 。 挑 战 者 运行 方案 中 的 全 局 初始 化 算法 ， 并 将 
公共 参数 GP 发 送 给 攻击 者 。 

b) 询 问 。 攻 击 者 首先 从 权威 机 构 Y 中 选择 被 腐化 的 一 部 分 
BLEJ C (C C V ) 生 成 并 发 送 其 公 钥 {PKp}pcc 给 挑战 者 ， 接 着 向 
挑战 者 询问 如 下 : 

(a) m ARRAY (CD, kao WERA WAH. 

(b) 选 取 部 分 未 被 腐化 的 权威 机 构 N(N SV )， 询 问 其 公 
4H. 

(c) n AP HIP {S GID; kao 询问 其 外 包 解 密 密 钥 , 其 中 ， 
S, cU 为 用 户 i 拥 有 的 属性 集 ， 要 求 T(S,) 中 C= 吉 ， 即 用 户 拥 
有 的 属性 都 是 由 未 被 腐化 的 权威 机 构 授 权 的 。 此 外 ， 要 求 
n>m， 即 攻击 者 不 仅 能 够 询问 a) 中 用 户 的 外 包 解 密 密 钥 ， 也 
E 够 询问 其 他 用 户 对 应 的 外 包 解 密 密 钥 。 
(gd) 选取 2 个 等 长 的 消息 mo, m, 和 一 个 访问 策略 (4,p) ， 询 
问 其 挑战 密 文 。 其 中 , 要 求 对 每 个 询问 过 私 钥 的 用 户 (Gs i n) 
的 属性 集 S, Sc 都 不 能 满足 访问 策略 (A, p) 。 

c) 挑 战 者 应 答 。 挑 战 者 随机 选择 be{0,1}， 返 回 

(2)/H (GID; k 的 公 、 私 钥 (userPK a key], o 

(b) 授 权 机 构 N SV 的 公 钥 {PKp}pen 。 

(0) 外 包 解 密 密 钥 {SK ou Fi- o 

(gd) 挑战 密 文 CT* 。 

qd) 猜测 。 攻 击 者 输出 猜测 结果 4b'e{0,}。 定 义 攻击 者 赢得 


T 


a 


优势 为 


1 
Pr[b 2 b]- +|. 
rl ] y 


若 攻击 者 赢得 该 游戏 的 优势 不 可 忽略 ， 则 称 该 方 
案 是 静态 安全 的 。 

上 述 游戏 中 不 包含 a) 类 询问 时 ， 此 安全 模型 转换 为 只 针对 
云 服 务 器 攻击 。 


4 具体 方案 


本 文 提出 的 方案 借鉴 了 文献 [21] 的 映射 思想 ， 利 用 函数 7 
将 属性 ieU 映射 到 授权 i 的 权威 机 构 BeV ， 即 存在 满 射 9G) 
可 将 和 矩阵 的 行 和 一 个 权威 机 构 对 应 起 来 ， 
SD =T) 2 B 。 此 外 , 在 方案 加 密 前 引入 了 预计 算 的 外 包 
作 ,， 并 将 移动 云 属 性 基 安 全 共享 划分 为 四 个 方面 , 即 初始 化 、 
用 户 注册 、 数 据 加 密 、 数 据 访问 。 有 具体 构造 如 下 : 


33 安全 模型 操 
本 文 定义 的 静态 安全 模型 是 挑战 者 与 攻击 者 之 间 的 一 个 安 

全 游戏 ， 它 与 自 适 应 模型 的 区 别 在 于 攻击 者 必须 在 收 到 公共 参 

数 后 立即 指定 攻击 对 象 和 询问 内 容 ， 然 后 发 送 给 挑战 者 ， 并 且 

在 游戏 结束 后 才能 改变 。 与 自 适应 模型 相同 的 是 ， 静 态 安全 模 


型 还 允许 攻击 者 可 以 多 次 对 用 


户 私 钥 和 云端 存储 的 部 分 解密 密 


文 进行 询问 ， 也 就 是 说 攻击 者 可 以 通过 询问 外 包 人 解密 密 钥 来 解 


密 密 文 ， 从 而 
比 部 分 权威 机 


得 到 部 分 解密 


密 文 。 出 


5 外， 还 允许 攻击 者 通过 腐 


构 从 而 生成 权威 机 构 的 公 钥 参与 加 密 。 模 型 修改 


自 文献 [22]， 主 要 是 在 抵抗 云 服 务 器 攻击 基础 上 通过 对 私 钥 的 


a) 初 始 化 。 

首先 执行 GlobalSetup 算法 ， 产 生 全 局 的 公共 参数 GP 。 选 
择 一 个 素数 阶 双 线 性 群 G ，P 为 阶 数 ，g 为 生成 元 。 然 后 选择 
PPAR HOHE. HZ, >G, SHIPS GID 映射 
到 G H, F:U 一 G， 将 属性 映射 到 G 中 。 输 出 全 局 公共 参数 
GP - ( p.G. g. H, F,U.V.T| 

每 个 权威 机 构 B eV 运行 算法 AuthoritySetup ， 随 机 选取 
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Qg Vp eZ, , 公开 目 


CES AE PK, ={e(8,8)“,8“} ， 秘 密 保留 


自己 的 私 钥 SKp ={0p,yp}。 
b) 用 户 注册 。 
当 新 用 户 访问 系统 时 ,用 户 需要 向 属性 授权 机 构 请 求 私 钥 。 


私 钥 由 用 户 属性 集 S 中 的 每 个 属性 对 应 的 权威 机 构 通过 执行 
KeyGen,, 算法 联合 生成 。 首 先 ， 在 移动 设备 上 运行 KeyGen, 
算法 ， 随 机 选择 zs 也 ， 利 用 自身 的 GID, 计算 生成 用 户 公 钥 
userPKanp — (8^, H(GID,)] 并 将 其 公布 。 相 关 权 威 机 构 利用 
userPK om, 输出 针对 用 户 GID, 的 外 包 解 密 密 钥 SK. ， 从 而 加 
入 基于 属性 的 数据 共享 系统 。 

具体 为 对 于 用 户 属性 集 5 中 的 每 一 个 属性 i， 
T(i)=p ， 则 授权 机 构 B 选择 随机 元 eZ,， 并 计算 : 


K,,- g^ H(GID)? FÒ" , 


K,, = g", 


输出 密 钥 SK, = (S. K; Kia hies o 
用 户 将 私 钥 key 2 V z 秘密 保存 ， 并 计算 : 
K'a — E , 


KE, 
输出 云 服 务 器 解密 密 钥 : 
SK ={S,K',,K',,)ics, 
将 {GID,SK。} 加 入 云 服务 器 密 铀 列表 Klist 中 。 
9 数据 加 密 。 
当 移动 设备 空 亲 时， 运行 Pre。 算法 ， 主 要 是 在 正式 加 密 
之 前 ， 对 0 中 的 每 个 属性 i 都 先 完成 预计 算 ， 为 之 后 的 加 密 提 
供 计算 结果 。 即 对 属性 i， 随 机 选择 和 4;,w1,7 EZ, ETSI 


IC,, =e(g, g)" elg, g)“ , 


IC 58", 
IC,,- gg, 
IC,, = F(i) 


rp iR] 2g xc IC = (IC; ,.1C; ,.1C; 1C; aheu ， 加 密 者 可 以 选择 将 
其 上 传 至 CSP 的 外 包 存 储 服务 器 来 节省 设备 的 存储 资源 。 

临时 密 钥 TK={4',@'ijiev 保存 在 本 地 。 

当 移 动用 户 需 要 进行 秘密 数据 共享 时 ， 运 行 Encrypt 算法 ， 
依次 输入 消息 严 ， 访 问 策略 (4,p) ， 以 及 中 间 密 文 IC 和 临时 密 
钥 TK 。 而 后 随机 选择 sYsesYXomesz ez, ， 令 向 量 
V= (S, Yas Y, , G-7(06z...z,) > FARAR xE, 
A, =(Av),, 0, -(A09), . A E =T) >, HA x epa m 
射 到 权威 机 构 8 。 计 算 密 文 : 

Co=me(g,8)， 
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C, ; «IC 


xj Paj 


je(Z,|izjs4), 


输出 密 文 CT= (A. p) C, (C, ], ! 


xe[/]je(Z, lx j«6)^ o 


以 上 运算 也 可 由 数据 拥有 者 在 正式 加 密 时 按 需 要 只 对 相关 
盟 性 进行 预计 算 , 再 完成 加 密 , 此 处 设计 借鉴 了 在 线 \ 离 线 思想 ， 
充分 利用 了 用 户 端的 空闲 时 间 和 云 存储 的 能 力 ， 为 正式 加 密 阶 
段 提供 部 分 计算 结果 ， 一 定 程 度 上 缓解 加 密 压 力 。 

d) 数 据 访问 。 

DU 从 CSP 下 载 密 文 。 如 果 密 文 是 合法 的 ， 那 么 移动 端 使 
j 私 钥 完 成 解密 。 

云 服 务 器 在 接 到 访问 请 求 时 ， 首 先 根据 终端 用 户 公 钥 
userPK ay, 在 云 服务 器 密 钥 列表 Klist 中 查找 其 相对 应 的 云 服 务 
器 解密 密 钥 SKo ={5,K i,K'i2Jies ， 然 后 运行 Out. 算法 对 密 


e 


pa CT -((A, P) CoCa jez sies) 进行 部 分 解密 E 终端 用 


户 在 外 包 解 密 服务 器 的 密 钥 中 关联 的 属性 集合 S 不 满足 密 文中 
的 访问 策略 (4,p) 时 ， 则 解密 失败 ; 否则 令 
I={x: p) ES} c {1,2,4 ， 解 密 服 务 器 计算 00 6 Z,) 满足 


> c,A, =(1,0,...,0) 


xel 


最 后 将 部 分 解密 的 密 文 


CT' x (C; Cu Cpan2) 发 送 给 DU 。 2 中 : 


Cuni 7 Ca ‘el(g, 8) e(K 5,4: C, 3)e(K 505, Cpa)” 


xel 


Cua = [ [{e(H(GID}, C48 *)* 


终端 用 户 在 收 到 云 服务 器 部 分 解密 的 密 文 后 ， 运 行 
Decrypt 算法 ， 利 用 保留 的 用 户 私 钥 key =1/z 完成 剩余 解密 运 
A, 计算 Cu Cue =e(8,8) ， 最 后 恢复 : 


C, 
ME se 
Cui á Ca” 
5 ARNIR 
5.1. 正确 性 分 析 


a) 外 包 解 密 过 程 。 当 属性 集 S 满足 访问 策略 (4,p) ， 令 


=(P ESE 2...0, Nie, eZ, iE 2546.75 


和 之 wc=0 。 有 如 下 结果 : 

C ud 

=J [{C.:e(8,8) eK soi C, 265, C. Y 
xel 
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Z'o) p(Tp() G7 A's) Zap(n) Ypa) 
_ giel g) ^" e(g,g) e(g,g) e(8 "" H(GID) 
xer F(p(x))^ XE, g elg), F(p(x))*")J* 


prie g)” elg, g)^ elg, g) "9h e(H (GID), 
xer gY” e(F(p(x)), g) O elg, FR A 


= [ [t«s. g8)^ e(H (GID), g) ^ y 


xel 


Lac DIT 
—-e(g,g)"  e(H(GID),g) * 


Jp pC 


pi 
- e(8, g)' e(H(GID), g) ™ 


C 


part2 


-[[tear«my.,c,, g^) 


xel 


g g^ toys 


=[ I{e(H(GID):, g^» gr 


xel 


ES Ite GD}, g^ gh )* 


xel 


= [ [ {H (GID), 2)" e(H (GID), g)^ y^ 


xel 


Eoma 


z yx 2 
— e(H (GID), g) ™ e(H (GID), g) ™ 


xypixo)x 


DN Yp 
=e(H (GID), g) ^ 


b) 移 动 设 备 完成 最 终 解 密 。 


Vz 
C pani : Caana 
DIT T DAE ik 
= {e(8, 8)' e(H(GID), g) ^ Ke(H (GID), g) “= j" 
-e(8.8) 
C, a me(g. gy - 
om C at ` e(g, 8) 


5.2 安全 性 分 析 

引 理 1 假定 Rouselakis-Waters(RW) 7j R Jé $8 d ze 4 
的 ， 则 本 文 提 出 的 移动 云 环境 下 无 中 心 多 机 构 CP-ABE 方案 也 
是 静态 安全 的 。 

证 明 假设 攻击 者 以 概率 多 项 式 时 间 攻 破 本 方案 的 优势 
不 可 忽略 ， 那 么 就 可 以 构造 一 个 概率 多 项 式 时 间 的 算法 @ 来 攻 
li RW 方案 。 

o 运行 GlobalSetup 算法 ， 输 出 全 局 公共 参数 
GP - (p.G,g, H,F,U,V.T] ， 并 将 其 发 送 给 攻击 

1) 询 问 ”攻击 者 首先 从 权威 机 构 V 中 选择 被 腐化 的 一 部 分 
机 构 C(C C V ) 生 成 并 发 送 其 公 钥 UK, uc 给 模拟 者 ， 接 着 
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向 模拟 者 询问 如 下 : 

a) Bom NRR P (ID, 39 RIA. A9]. 

b) 选 取 部 分 未 被 腐化 的 权威 机 构 N(N SV ), 询问 其 公 钥 。 

c) i n ASH P GGGIDE, , 询问 其 外 包 解 密 密 钥 。 其 中 ， 
S, cU 为 用 户 i 拥 有 的 属性 集 ， 要 求 T(S,) 中 C= 多 ， 即 用 户 拥 
有 的 属性 都 是 由 未 被 腐化 的 权威 机 构 授 权 的 。 此 外 ， 要 求 
n>m， 即 攻击 者 不 仅 能 够 询问 a) 中 用 户 的 外 包 解 密 密 钥 ， 也 
能 够 询问 其 他 用 户 对 应 的 外 包 和 解密 密 钥 。 

dd) 选取 两 个 等 长 的 消息 mo m, 和 一 个 访问 策略 (4,p) ,询问 
其 挑战 密 文 。 其 中 , 要 求 对 每 个 询问 过 私 钥 的 用 户 iA <in) 的 
属性 集 S; O Sc 都 不 能 满足 访问 策略 (A, p) o 

2) 挑 战 者 应 答 ”模拟 者 @ 给 挑战 者 发 送 公 钥 {PKp}pec ,并 
询问 RW 方案 中 N SV 对 应 的 公 钥 ，{5;,GID,}i 对 应 的 私 钥 和 
挑战 密 文 。 挑 战 者 给 2 返回 相应 的 私 钥 


{SK ap, = (g" H(GID,)" F(j)",g8") jes, dict ^ 


了 


A 4H [PK]; 和 


挑战 密 文 CT* . O 首先 计算 本 方案 中 的 用 户 私 钥 : 对 1<i<m， 
随机 选取 zs Z; ， 计 算 用 户 公 钥 userPKaw, — G5, H(GID,)*} 和 
私 钥 keyaw, ={1/z}; ， 然 后 计算 US, GID, Yr 对 应 的 外 包 和 解密 密 
钥 ， 如 下 所 示 : 

axIxizm, jeS,, ifi 


K ,Lom, - (g^ H(GID,)" F)” j = re sop | 
Eu CUTE r; 


令 SK om, ={S;, K; ia, ID K; sa, H Vies 


bd msizn, jeS,, KELI S; eG RI k, eZ, iE 


Kj Lam, = gF” $j , K 20m, F(j) E 4 


SK om, -[5; 天 Lam， E AK; » arp, E Hes, .注意 g" H(GID,)” 是 群 G 


中 的 元 素 ， 而 G 是 循环 群 ， 所 以 存在 未 知 的 z eZ, 使 


8)=(g”H(GID)”)’ = g% H(GID)” 


大 此 ， 
Ku = 8E)" eg"  H(GID)"* FO)" 
K 20m, = FG» 
是 合理 分 布 的 外 包 解 密 密 钥 。 


@ 将 上 述 用 户 公 、 私 钥 fuserPKam key]? 、 权 威 机 构 公 角 
{PK5jpcw 、 外 包 解密 密 钥 SK unom, Y, MAREX CT * 发 送 给 
攻击 者 。 


3) 猜 测 ”攻击 者 和 @ 同时 输出 猜测 结果 b'e{0,1} 。 
上 述 分 布 对 攻击 者 来 说 是 真实 不 可 区 分 的 ， 因 此 ， 若 攻击 


201806.00104v1 


Xiv: 


china 


录用 稿 FRA, Fi 移动 云 环境 下 高 效 属性 基 加 密 方案 研究 
者 能 以 不 可 忽略 的 优势 攻破 本 方案 ， 则 也 能 以 不 可 忽略 的 优势 文献 [21] 2V| 1 (6C- E E 
攻破 RW 方案 。 本 方案 2V| 1 E E 
引 理 2. 假定 q-DPBDHE2 假设 成 立 ， 则 RW 方案 在 随机 本 文 对 比 了 方案 的 存储 开销 和 计算 开销 ， 如 表 2 所 示 。 其 
预言 模型 下 是 静态 安全 的 。 中 |0| 表 示 属 性 个 数 ，|V| 表示 权威 机 构 个 数 ，|S| 表示 用 户 的 属 
证 明 文献 [22] 已 给 出 详细 的 证 明 ， 由 于 篇 幅 原 因 ， 在 此 ”性 个 数 ，7 表示 访问 结构 中 矩阵 的 行 数 ， |7|(N|< 0 表示 参与 
WEARER. 解密 的 矩阵 行 数 ，P 表示 群 中 双 线 性 对 运算 ，E 表示 群 中 的 指 
定理 1 假定 q-DPBDHE2 假设 成 立 ， 则 本 文 的 方案 在 随机 ” 数 运 算 。 由 于 乘法 运算 与 群 中 双 线 性 运算 和 指数 运算 的 开销 相 
预言 模型 下 是 静态 安全 的 。 比 大 可 忽略 不 计 ， 在 此 处 只 考虑 了 以 上 运算 的 开销 。 
证 Bj 由 引 理 1 和 2 直接 得 证 从 表 中 可 以 看 出 ， 在 AA 公 钥 方面 ， 文 献 [19] 可 达 常 数 ， 
5.8 效能 分 析 但 其 方案 需要 存在 一 个 中 央 权 威 机 构 ， 而 中 央 权 威 机 构 的 私 钥 
本 节 主 要 对 本 方案 和 相关 方案 的 效能 进行 了 对 比分 析 ， 包 ”是 与 |V| 线 性 相关 的 。 由 于 本 文 方案 采用 函数 了 将 属性 ieU 映 
括 方案 本 身 功能 性 的 实现 和 用 户 端 的 开销 (存储 开销 和 计算 开 ” 射 到 授权 i 的 权威 机 构 jeV ， 所 以 |V|<|V|， 也 就 是 说 本 方案 
销 )。 表 1 给 出 了 方案 的 功能 性 对 比 结果 , 表 2 给 出 了 方案 的 开 P AA 公 钥 只 与 属性 的 授权 机 构 的 个 数 有 关 ， 而 与 所 管理 的 属 
销 对 比 结果 。 性 个 数 无 关 。 这 样 的 好 处 是 在 后 期 加 入 属性 也 不 会 影响 AA 的 
表 1 功能 对 比 公 钥 。 所 以 本 方案 在 用 户 存储 开销 上 是 优 于 文献 [18] 和 [20] 的 。 
无 C4 大 属性 域 ”素数 阶 ” 预 计算 外包 解密 其 次 ， 在 用 户 的 私 钥 方 面 ， 文 献 [18~20] 中 AA 根据 用 户 的 
文献 [18] x x d x x 属性 直接 生成 , 因此 私 钥 长 度 与 |3| 线性 相关 。 本 文 方案 是 先 让 
文献 [19] x y Y x y 用 户 在 注册 阶段 就 为 自己 产生 一 组 公 、 私 钥 对 ， 然 后 AA 再 利 
文献 [20] y x x x x 用 这 组 公 、 私 钥 对 和 用 户 的 属性 为 去 服务 器 产生 外 包 解 密 密 钥 。 
文献 [21] V y y x Y 这 样 用 户 端的 私 钥 即 为 常数 ， 而 不 会 随 着 用 户 属 性 的 增长 而 增 
本 方案 V y y y y 大 。 因 此 ， 本 文 方案 的 用 户 端 存 储 开销 是 小 于 文献 [18~20] 提 出 
本 文 主要 考虑 更 符合 实际 应 用 中 的 多 权威 机 构 设 置 ， 因 此 KWARK. 
选择 了 四 个 多 权威 机 构 的 相近 方案 与 本 方案 做 比 对 。 文 献 在 计算 开销 方面 ， 由 于 本 文 主要 研究 的 是 适用 于 数据 共享 
[18,19] 给 出 的 方案 都 需要 一 个 中 央 权 威 机 构 对 身份 进行 认证 ， 的 CP-ABE 方案 ,访问 策略 是 与 密 文 相关 联 的 ， 即 密 文 的 长 度 
不 能 避免 中 央 机 构 腐败 对 整个 加 密 过 程 带 来 的 威胁 ， 且 中 央 权 和 访问 策略 中 访问 矩阵 的 行 数 4 线性 相关 。 本 文 方案 在 加 密 和 
威 机 构 必须 要 与 每 个 权威 机 构 进行 信息 的 交互 ， 由 此 带 来 的 通 解密 时 都 考虑 了 外 包 的 情形 ， 因 此 在 加 、 解 密 的 效率 上 要 优 于 
言 开销 也 不 能 忽视 ， 文 献 [20] 考 虑 了 以 上 的 问题 ， 但 方案 是 基 文献 [18~20]。 在 保证 安全 的 前 提 下 ， 在 用 户 端 的 加 密 时 采用 在 
于 合 数 阶 双 线性 群 提出 的 ,在 效率 上 与 素数 阶 的 方案 相差 较 大 ， ” 线 /离线 思想 , 在 用 户 设备 空闲 时 , 即 离 线 阶 段 执行 一 部 份 计算 ， 


且 并 未 考虑 其 他 降低 姑 


F 销 的 办 法 ;， 相 比 之 下 ， 文 献 [21] 提 出 了 


使 得 在 线 加 密 量 明显 降低 ， 达 到 一 次 双 线 性 运算 和 一 次 指数 运 


一 个 比较 好 的 解决 方案 ， 但 对 于 移动 去 用 户 来 说 在 加 密 阶段 的 。 算 ， 因 此 本 文 方案 要 在 加 密 时 要 优 于 文献 [21]。 
开销 仍然 要 求 较 高 。 本 文 提出 的 方案 在 总 结 前 人 研究 成 果 的 基 户 端 解密 时 ， 文 献 [18~20] 是 用 户 直接 对 密 文 进行 解密 ， 
础 上 ， 对 以 上 涉及 到 的 不 足 进行 了 改进 ， 在 加 密 阶 段 引 入 了 预 ”因此 解密 时 的 双 线性 对 运算 与 指数 运算 都 是 与 /| 线性 相关 的 。 
计算 操作 ， 使 得 用 户 可 以 充分 利用 设备 的 空 闪 时 间 和 云 存储 空 而 本 文 方案 是 由 云 外 包 解 密 服 务 器 先进 行 部 分 解密 ， 最 后 用 户 
间 ， 在 不 泄漏 任何 秘密 信息 的 前 提 下 ， 为 正式 加 密 提 供 部 分 计 ” 只 需要 对 中 间 密 文 进行 一 次 指数 运算 就 可 以 恢复 出 明文 ， 大 大 
算 结 果 参 与 加 密 ， 使 其 更 适用 于 移动 云 环 境 。 降低 了 端 设备 的 计算 开销 ， 适 用 于 移动 云 中 的 秘密 共享 。 

此 外 ， 本 文 提出 的 方案 借鉴 了 文献 [21] 的 映射 思想 ， 采 用 5.4 实验 结果 
函数 FU 一 G， 将 属性 空间 映射 到 G 中 ， 这 样 的 好 处 是 系统 本 节 通 过 实验 综合 对 比 了 本 文 方案 与 相关 文献 的 计算 开 
中 的 属性 个 数 不 用 限制 , 任何 G 中 的 字符 串 都 可 以 在 后 期 作为 销 。 实 验 环境 为 Intel Corei7, 2.6 GHz, 8 GB 内 存 ， 操 作 系统 
一 个 新 的 属性 添加 到 方案 中 。 此 外 ， 本 方案 通过 函数 及 将 用 户 X Linux MINT 18， 基 于 Charm 架构 29， 选 用 JPBC 中 的 D 类 
标志 符 GID 映射 到 G rb, 使 得 拥有 唯一 标志 的 用 户 和 机 构 都 可 ”椭圆 曲线 。 实 验 中 ， 在 比较 用 户 端的 加 、 解 密 效 率 可 以 看 出 ， 
以 实现 完全 分 权 ， 以 此 抵抗 用 户 和 机 构 间 的 合谋 攻击 。 本 文 方案 比 文献 [21] 在 加 密 效率 上 有 更 大 优势 。 

X2 开销 对 比 实验 结果 如 图 2 所 示 。 计 算 开 销 方面 本 文 方案 更 胜 一 筹 ， 
公 钥 户 私 钥 户 端 加 密 。 ”用 户 端 解密 适用 于 云 环 境 下 资源 受 限 的 用 户 进行 数据 安全 共享 。 

文献 [18] 2|v| 3 |s|- 2 (5£-3)E 2|r|P || E i 
文献 [19] 4 2|5|« 2 (U +2)E Q|n- 2)? «Jg 结束 语 
文献 [20] 2|v| Is] (SL+DE 2u|P «ng 本 文 方案 在 经 典 ABE 方案 的 基础 上 ,一 是 在 加 密 时 采取 了 


录用 稿 


预计 算 方法 、 解 密 时 进行 了 安全 外 包 ， 有 效 降 低 了 加 、 解 密 于 
用 户 端的 计算 开销 ;二 是 引入 了 映射 思想 ， 在 方案 构建 之 初 ， 
将 属性 与 群 元 素 进 行 一 一 对 映 ， 以 满足 后 续 随 时 添加 属性 而 不 
会 影响 整体 方案 运行 的 需要 ， 三 是 考虑 了 更 加 符合 实际 应 用 的 
无 中 心 多 权威 机 构 情 景 ， 权 威 机 构 与 用 户 拥有 唯一 身份 标识 ， 
各 自 独 立 运 行 分 发 保管 密 钥 ， 属 性 由 唯一 权威 机 构 授权 ， 但 可 
多 个 权威 机 构 管理 ， 最 后 在 随机 预言 模型 下 对 本 文 方案 的 安 
全 性 进行 了 证 明 。 方 案 分 析 和 实验 结果 表明 ， 本 文 方案 可 以 有 
效 减少 移动 设备 端的 开销 ， 适 用 于 移动 云 环境 下 的 数据 安全 共 
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(A) 用 户 加 密 时 间 开销 


(B) 用 户 解 密 时 间 开 销 
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2 加、 解密 时 间 开 销 


参考 文献 : 


[1] Mell P, Grance T. The NIST definition of cloud computing [J]. 
Communications of the ACM, 2011, 53 (6): 50-50. 

[2] White Paper. Mobile cloud computing solution brief [R]. 2010. 

[3] 4& 3, RE, ZAR, 等 . 移动 云 计算 研究 进展 与 趋势 D]. 计算 机 学 
报 , 2017, 40 (2): 273-295. (Cui Yong, Song Jian, Miao Congcong, et al. 
Mobile cloud computing research progress and trends [J]. Chinese Journal 
of Computers, 2017, 40 (2): 273-295. ) 

[4] Gartner. Five trends in cybersecurity for 2017 and 2018 [EB/OL]. 
https://www. gartner. 
com/smarterwithgartner/5-trends-in-cybersecurity-for-2017-and-2018/. 

[5] Wikipedia. The definition of mobile cloud computing [EB/OL]. https://en. 
wikipedia. org/wiki/Mobile_cloud_computing. 

[6] 苏 航 , 朱智 强 , Ihi. 适合 移动 云 存储 的 基于 属性 的 关键 词 搜索 加 密 方 
* DU]. 计算 机 研究 与 发 展 , 2017，54 (10): 2369-2377. (Su Hang, Zhu 
Zhiqiang, Sun Lei. Attribute-based encryption with keyword search in 
mobile cloud storage [J]. Journal of Computer Research and Development, 


2017, 54 (10): 2369-2377.) 


RA, F: 


[7] $25. 移动 医疗 中 隐藏 访问 结构 的 云 外 包 属 性 基 加 密 [D]. 西安 : 西安 
电子 科技 大 学 , 2015. (Cao Lei. Outsourcing the attribute-based encryption 
for mobile medical data hiding access structure [D]. Xi' an: Xidian 
university, 2015. ) 

[8] Khan A N, Kiah M L M, Khan S U, et al. Towards secure mobile cloud 
computing: a survey [J]. Future Generation Computer Systems, 2013, 29 
(5): 1278-1299. 

[9] Green M, Hohenberger S, Waters B. Outsourcing the decryption of ABE 
ciphertexts [C]// Proc of Usenix Conference on Security. [S. 1. ] : USENIX 
Association, 2011: 34-34. 

[10] Li Fei, Rahulamathavan Y, Rajarajan M, et al. Low complexity 
multi-authority attribute based encryption scheme for mobile cloud 
computing [C]// Proc of IEEE, International Symposium on Service 
Oriented System Engineering. 2013: 573-577. 

[11] Hohenberger S, Waters B. Online//offline attribute-based encryption [M]// 
Public-Key Cryptography-PKC 2014. Berlin: Springer, 2014: 293—310. 

[12] Vijay H, Goyal D, Singla S. An efficient and secure solution for attribute 
revocation problem utilizing CP-ABE scheme in mobile cloud computing 
[J]. International Journal of Computer Applications, 2015, 129 (1): 
975-8887. 

[13] Li Ruxuan, Shen Chenglin, He Heng, et al. A lightweight secure data 
sharing scheme for mobile cloud computing [J]. IEEE Trans on Cloud 
Computing, 2017, PP (99): 1-1. 

[14] Lyu Maoxu, Li Xuejun, Li Hui. Efficient, verifiable and privacy preserving 
decentralized attribute-based encryption for mobile cloud computing [C]// 
Proc of the 2nd IEEE International Conference on Data Science in 
Cyberspace. [S. 1. ] : IEEE Computer Society, 2017: 195-204. 

[15] Zhao Zhiyuan, Wang Jianhua. Verifiable outsourced ciphertext-policy 
attribute-based encryption for mobile cloud computing [J]. Ksii Trans on 
Internet & Information Systems, 2017, 11 (6): 3254-3272. 

[16] De S. J, Ruj S. Efficient decentralized attribute based access control for 
mobile clouds [J]. IEEE Trans on Cloud Computing, 2017, PP (99): 1-1. 

[7] EFR, BRI. 移动 云 环境 下 的 多 授权 机 构 属性 基 加 密 方 案 [J/OL] 
计算 机 应 用 研究 ，2018，35 (5) 1-9. http://www. arocmag. 
com/article/02-2018-05-006. html. (Li Xuejun and Lyu Maoxu. 
Multi-authority attribute-based encryption scheme in mobile cloud 
environment [J/OL]. Application Research of Computers, 2018, 35 (5): 1-9. 
http://www. arocmag. com/article/02-2018-05-006. html. ) 

[18] Yang Kan, Jia Xiaohua. Expressive, efficient, and revocable data access 
control for multi-authority cloud storage [J]. IEEE Trans on Parallel & 
Distributed Systems, 2014, 25 (7): 1735-1744. 

[19] Huang Xiaofang, Tao Qi, Qin Baodong, et al. Multi-authority attribute 
based encryption scheme with revocation [C]// Proc of IEEE International 
Conference on Computer Communication and Networks. 2015: 1-5. 

[20] Cui Hui, Deng R H. Revocable and decentralized attribute-based 


encryption [J]. Computer Journal, 2016, 59 (8): bxw007. 


201806.00104v1 


chinaXiv 


录用 稿 


[21] KIL, Zo, AXE, 等. 支持 高 效 撤销 的 多 机 构 属 性 加 密 方 案 [J]. 
通信 学 报 . 2017, 38 (3): 83-91. (Zhang Kai, Ma Jianfeng, Li Hui, et al. 
Multi-authority attribute-based encryption with efficient revocation [J]. 
Journal on Communications, 2017, 38 (3): 83-91. ) 

[22] Rouselakis Y, Waters B. Efficient statically-secure large-universe 
multi-authority attribute-based encryption [C]// Proc of International 
Conference on Financial Cryptography and Data Security. Berlin: Springer, 


2015: 315-332. 


付 雨 靖 ， 等 : 


[23] Beimel A. Secure schemes for secret sharing and key distribution [J]. 
International Journal of Pure & Applied Mathematics, 1996. 

[24] Akinyele J A, Garman C, Miers I, et al. Charm: a framework for rapidly 
prototyping cryptosystems [J]. Journal of Cryptographic Engineering, 2013, 


3 (2): 111-128. 


